本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
存取控制的屬性
存取控制的屬性是 IAM Identity Center 主控台中的頁面名稱,您可以在其中選取要在策略中用來控制資源存取的使用者屬性。您可以 AWS 根據使用者身分識別來源中的現有屬性,將使用者指派給中的工作負載。
例如,假設您要根據部門名稱將存取權指派給 S3 儲存貯體。在 [存取控制屬性] 頁面上,您可以選取 [部門] 使用者屬性,以搭配以屬性為基礎的存取控制 () ABAC 使用。然後,在 IAM Identity Center 權限集中編寫一個政策,只有當部門屬性與您指派給 S3 儲存貯體的部門標籤相符時,才授與使用者存取權。IAM身分識別中心會將使用者的部門屬性傳遞給要存取的帳號。然後,會根據策略使用屬性來決定存取權限。如需有關 ABAC 的詳細資訊,請參閱 屬性型存取控制。
開始使用
如何開始設定存取控制屬性取決於您使用的身分識別來源。無論您選擇的身分識別來源為何,在選取屬性之後,您都需要建立或編輯權限集原則。這些原則必須將 AWS 資源的存取權授與使用者身分。
使用IAM身分識別中心做為身分識別來源時選擇屬性
當您將 IAM Identity Center 設定為身分識別來源時,您必須先新增使用者並設定其屬性。接下來,瀏覽至存取控制的屬性頁面,然後選取您要在策略中使用的屬性。最後,瀏覽至要建立或編輯使用屬性的權限集的AWS 帳戶頁面ABAC。
當用 AWS Managed Microsoft AD 作身分識別來源時選擇屬性
當您將IAM身分識別中心設定 AWS Managed Microsoft AD 為您的身分識別來源時,首先會將一組屬性從 Active Directory 對應至IAM身分識別中心中的使用者屬性。接下來,瀏覽至存取控制的屬性頁面。然後根據從 Active Directory 對應的現有屬性集,選擇要在ABAC組態中使用的SSO屬性。最後,使用權限集中的存取控制屬性來授與使用者身分存取 AWS 資源的編寫ABAC規則。如需 IAM Identity Center 中使用者屬性與 AWS Managed Microsoft AD 目錄中使用者屬性的預設對應清單,請參閱預設對映。
使用外部身分識別提供者做為身分識別來源時選擇屬性
當您將IAM身分識別中心設定為外部身分識別提供者 (IdP) 做為您的身分識別來源時,有兩種方法可將屬性用於ABAC。
-
您可以將 IdP 設定為透過SAML宣告傳送屬性。在此情況下,IAM身分識別中心會將 IdP 中的屬性名稱和值傳遞至原則評估。
注意
您無法在 [存取控制屬性] 頁面上看到SAML宣告中的屬性。您必須事先知道這些屬性,並在編寫原則時將其新增至存取控制規則。如果您決定信任屬性 IdPs 的外部,那麼當使用者聯合到 AWS 帳戶時,這些屬性將一律傳遞給。在相同屬性透過SAML和傳送至IAM身分識別中心的案例中SCIM,SAML屬性值在存取控制決策中優先。
-
您可以從 IAM Identity Center 主控台的 [存取控制的屬性] 頁面中設定您使用的屬性。您在此選擇的屬性值會取代來自 IdP 透過宣告的任何相符屬性的值。根據您是否使用SCIM,請考慮下列事項:
-
如果使用SCIM,IdP 會自動將屬性值同步至IAM身分識別中心。存取控制所需的其他屬性可能不會出現在SCIM屬性清單中。在這種情況下,請考慮與 IdP 中的 IT 管理員協同合作,以使用必要的前置SAML詞透過宣告將此類屬性傳送至 I IAM dentity Center。
https://aws.amazon.com/SAML/Attributes/AccessControl:如需如何針對 IdP 中的存取控制設定使用者屬性以透過SAML宣告傳送的詳細資訊,請參閱 IdP 的入門教學課程。 -
如果您未使用SCIM,則必須手動新增使用者並設定其屬性,就像使用 IAM Identity Center 做為身分識別來源一樣。接下來,瀏覽至存取控制的屬性頁面,然後選擇您要在策略中使用的屬性。
-
如需 IAM Identity Center 中使用者屬性對外部使用者屬性所支援屬性的完整清單 IdPs,請參閱支援的外部身分識別提供。
若要開始使用IAM身分識別ABAC中心,請參閱下列主題。
